当前，全面全清I驱各行业组织纷纷加速布局 AI 驱动型基础设施，安安全全力打造 “AI 为先” 的单守动型运营模式。然而，基础安全防护建设却明显滞后，设施成为一大短板。全面全清I驱基于大型语言模型（LLMs）和多组件协议（MCP）构建的安安全多智能体系统 ，虽在效率提升 、单守动型业务拓展上潜力巨大
，基础但也催生了传统安全工具无法应对的设施新型漏洞 ，给 AI 环境安全带来严峻挑战  。全面全清I驱

为解决这一痛点
，安安全网络安全领域企业 Wallarm 密切关注新兴攻击面的单守动型防护指南，亿华云尤其参考了近期发布的基础《OWASP 多智能体系统威胁建模指南 v1.0》，结合实际应用场景，设施编制出一份实用的 MCP 安全清单 。

这份清单精准聚焦多智能体系统中的 11 类核心安全风险，不仅清晰剖析了各类风险的危害，还给出了针对性的防御方案。比如，针对 “意外的远程代码执行与代码攻击”，提出权限限制、环境隔离 、源码下载执行控制等多维度防护手段；面对 “模型不稳定导致 MCP 请求不一致” 问题，从调用限制、速率管控、提示优化三方面制定应对策略。此外 ，清单还涵盖工具滥用、客户端仿冒 、通信不安全 、资源过载、服务账户信息泄露 、日志操纵、权限泄露
、服务器权限隔离不足、生态系统中恶意服务器等风险，对应的防御措施涉及验证监控 、云计算身份管理、加密通信、资源管控、敏感信息保护等多个层面
。

有了这份 MCP 安全清单，各组织在推进 AI 基础设施建设时 ，能更精准地识别安全隐患 、部署防护措施，从而有效守护原生 AI 环境安全 ，打造兼具灵活性与安全性的 AI 驱动型基础设施。

1. T11—— 意外的远程代码执行与代码攻击

在原生 AI 系统中
，智能体并非仅对查询做出响应 ，它们还会生成并执行代码 。这为隐蔽而危险的香港云服务器提示注入攻击打开了方便之门 。若攻击者在提示中注入操作系统命令等恶意指令，大型语言模型可能在不知情的情况下嵌入并执行这些指令，造成严重安全威胁。缓解措施可从多维度实施：

权限限制：仅在绝对必要时允许代码生成；应用最小权限原则 ，仅授予完成任务所需的最低权限；限制对文件系统和网络等系统资源的访问 。环境隔离 ：对执行环境进行沙箱隔离 ，防止主机级别的安全危害。执行控制：实施执行控制策略 ，对具有提升权限的 AI 生成代码进行标记并暂停执行，等待人工审核；限制 CPU、服务器租用内存和执行时间，使其与任务范围相匹配；使用允许列表而非阻止列表来明确规定允许的操作；在智能体代码和工具中始终遵循安全编码规范  。2. T26—— 模型不稳定导致 MCP 请求不一致

模型不稳定易引发 MCP 客户端向 MCP 服务器发送不一致或异常请求 ，干扰系统正常操作。例如 ，模型执行构建 SQL 查询等任务出错时 ，可能反复重试错误指令 ，给后端带来过多流量，进而演变为拒绝服务问题。由于模型难以及时察觉自身错误 ，基础设施需具备错误识别能力，具体防范措施如下 ：

调用限制 ：按会话或任务对工具调用的频率和数量加以限制。速率管控：根据网络状况和智能体活动实施自适应速率限制。提示优化 ：构建具有明确格式和逻辑步骤的建站模板提示；使用思维链（CoT）提示法（一种引导模型进行逐步推理的方法）
，减少因跳跃式推理导致的不一致性。3. T2—— 通过 MCP 实现的工具滥用

在 MCP 环境中运行的智能体能够访问工具 API 执行计算、转换或业务操作。但若缺乏适当验证
，智能体可能被诱骗使用错误工具执行任务 ，改变输出结果或破坏信任 。为缓解这一风险 ，可从多个层面着手：

验证与监控层面：实施严格的工具访问验证，对每次调用进行验证；监控工具使用模式，及时发现异常情况。权限与范围层面 ：为不同工具配置不同权限集；限制每个工具的访问范围 ，使其仅能获取所需资源 。隔离与安全层面
：在隔离环境中运行工具 ，防止交叉影响；验证输入 ，限制函数范围 ，阻止危险操作。管理与规范层面：防止命名冲突和未授权的工具间访问；对工具调用的频率和数量加以限制；在文档中包含必要的类型、计量单位和运行时验证要求，确保工具正确使用。4. T40——MCP 客户端仿冒：身份管理问题

在分布式智能体生态系统中，身份至关重要。若恶意攻击者获取有效凭据
，或系统未能正确验证智能体身份
，他们可能访问特权工具或数据。为防范这一风险 ，需构建完善的身份管理体系 ：

开发强大的身份验证框架 ，确保身份不与单一凭据相关联。使用行为分析检测智能体活动中的异常情况。实施可随时间调整且能抵御操纵的智能体信誉系统 。强制使用公钥基础设施（PKI） ，智能体必须通过由可信证书颁发机构（CA）颁发的数字证书进行身份验证 ，PKI 通过证书链验证机制有效确保证书的真实性和完整性。验证私钥所有权，以确认智能体身份。使用具有智能体间身份验证功能的安全通信协议  。实施沙箱隔离和政策执行措施，限制已被入侵智能体的影响范围。5. T30——MCP 实施中的通信不安全问题

若 JSON-RPC 和 SSE 等通信协议实施不当 ，攻击者可能拦截、修改或注入传输中的数据 。例如，MCP 客户端与服务器间的请求和响应通过未加密的 HTTP 发送时
，攻击者可能篡改响应 ，导致大型语言模型输出无效结果。缓解这一风险需强化通信安全：

使用 HTTPS 和双向 TLS（mTLS）等安全通信协议。验证证书属性和颁发机构，防止中间人攻击。对所有与 MCP 相关的通信强制实施加密和身份验证。持续监控流量，警惕异常模式、有效负载篡改或注入尝试。6. T4—— 资源过载风险

攻击者可能通过大量 CPU、内存或服务请求使 AI 系统过载，降低系统性能或导致拒绝服务
。例如，恶意攻击者可能触发 100 次大型文件读取操作
，或发送 PostgreSQL 的 pg_sleep (600) 睡眠命令冻结数据库操作。可通过以下方式缓解风险 ：

部署资源管理控制措施，合理分配 CPU、内存和 I/O 预算。结合实时监控实施自适应扩展
。按智能体会话实施 AI 速率限制政策 。对提示大小 、任务持续时间和重试次数设置严格配额。7. T21—— 服务账户信息泄露隐患

MCP 服务账户配置不当可能导致凭据通过工具、日志或文件访问泄露 。例如，连接到读取环境变量工具的大型语言模型可能无意中泄露 AWS 凭据 。防范措施包括：

自动对个人身份信息（PII）和凭据进行脱敏处理
，尤其是从日志或智能体输出中自动检测并隐藏密钥、令牌等敏感信息 。按角色和上下文使用细粒度的访问控制。定期轮换凭据 ，缩短可能被入侵的时间窗口 。设置防护措施 ，防止凭据共享或意外泄露  。对所有访问令牌和 API 应用最小权限原则。8. T22—— 选择性日志操纵问题

攻击者可能操纵日志行为，隐藏恶意活动或用无用事件淹没系统 。例如，他们可能将日志级别更改为 DEBUG 或 TRACE 以隐藏攻击
，用无用事件使日志系统过载，或通过配置操纵禁用日志功能。缓解策略如下：

实施日志的加密验证
，确保日志完整性
。使用具有严格访问控制的不可变日志存储，防止日志被篡改或删除。通过元数据丰富日志内容
，提高可见性
。部署异常检测系统 ，充分考虑 AI 智能体的非确定性行为
 。9. T3—— 权限泄露风险

攻击者可能通过配置错误、提示注入或访问逻辑操纵来提升权限。例如，某个提示可能说服大型语言模型向攻击者授予管理员权限 ，或恶意用户可能将管理员组权限恶意降级至普通用户访问级别
。为缓解这一风险 ：

在所有层级实施细粒度访问控制。动态验证角色变更，并记录所有权限提升操作  。除非预先获得批准，否则阻止智能体之间的权限委托
 。对高风险操作实施人工验证 。使用分层防御措施防止提示注入和权限滥用。10. T45——MCP 服务器权限隔离不足：身份管理问题

如果 MCP 服务器对主机资源或网络拥有过多访问权限，安全入侵可能在系统间蔓延 。例如 ，MCP 服务器上某个易受攻击的工具允许路径遍历（一种常见 Web 漏洞
，攻击者可通过构造特殊路径访问未授权文件） 
，可能泄露其他服务或 MCP 环境的机密信息 。防止此类情况需做好权限隔离：

在服务器级别应用最小权限原则 。通过沙箱隔离和资源边界隔离智能体和工具。实施运行时监控和严格的访问执行措施，防止权限提升或横向移动。11. T47—— 生态系统中的恶意 MCP 服务器：智能体身份管理问题

攻击者可能部署恶意 MCP 服务器伪装成合法服务器，连接到该恶意服务器的智能体随后会被入侵。这是针对 MCP 信任模型的生态系统级攻击。缓解这一风险需强化身份验证与信任机制 ：

使用去中心化标识符（DIDs）在服务间进行身份验证，DIDs 是一种去中心化的身份标识方式，不依赖中心化机构即可实现身份验证 。应用双向 TLS 和 DID 签名消息等安全身份验证协议。通过带时间戳的凭据验证防止重放攻击。维护可适应动态智能体属性的可信智能体注册表。结语

如果没有强大的安全模型，MCP 和多智能体系统的灵活性就会变得脆弱不堪 。通过遵循 OWASP 的威胁建模指南和上述建议 ，各组织能够打造出既安全又智能的 AI 基础设施。

原文链接:

https://securityboulevard.com/2025/08/comprehensive-mcp-security-checklist-protecting-your-ai-powered-infrastructure/?utm_source=rss&utm_medium=rss&utm_campaign=comprehensive-mcp-security-checklist-protecting-your-ai-powered-infrastructure）